Кибервойн@. Пятый театр военных действий - читать онлайн книгу. Автор: Шейн Харрис cтр.№ 35

Изобретательность и искусность при розыске таких скрытых, едва различимых особенностей отличает великих хакеров от просто хороших. Именно это умение позволяет находить уязвимости нулевого дня. Хакеры просят за них высокую цену. Если эксплоиты поставляются в форме «оружия», то есть готовыми к применению против какой-либо системы, их цена начинается от $50 000 и может достигать $100 000, как говорят эксперты. Некоторые эксплоиты могут стоить еще дороже, в случае если они предназначены для атаки на более ценные или труднодоступные объекты. Текущая стоимость эксплоита для атаки на операционную систему Apple iOS, которая установлена в смартфонах iPhone и других мобильных устройствах той же компании, составляет полмиллиона долларов, по словам одного из экспертов. А более сложные эксплоиты, которые используют недостатки во внутренней механике элементов оборудования, могут стоить миллионы долларов. Столь высокая цена таких эксплоитов обусловлена тем, что объектом их атаки является аппаратная часть оборудования, недостатки которого не могут быть устранены так же, как ошибки в программном обеспечении, с помощью нескольких новых строк кода. Структурами, у которых есть стимулы и средства для покупки такого оружия, являются исключительно организованные преступные группы и государственные организации.

Серьезные покупатели информации об уязвимостях нулевого дня, такие как АНБ, добывают ее разными способами. Они создают резервы на будущее. По словам бывшего высокопоставленного государственного чиновника, получившего информацию на секретном совещании с руководителями АНБ, агентство хранит данные более чем о двух тысячах уязвимостей нулевого дня для потенциального применения против одних только китайских электронных систем. Это потрясающе огромное количество эксплоитов. Компьютерный червь Stuxnet, который был создан совместными усилиями США и Израиля для нарушения работы объектов иранской атомной программы, содержал четыре эксплоита нулевого дня, что само по себе немало для одной атаки. Коллекция из 2000 эксплоитов нулевого дня – это кибернетический аналог ядерного арсенала.

Этот арсенал к тому же подвергает риску пользователей во всем мире. Раз АНБ запасает данные об уязвимостях, вместо того чтобы сообщать производителям высокотехнологичной продукции, что в их аппаратном и программном обеспечении имеются изъяны, значит агентство, вероятно, скрывает ценную информацию, которая могла бы быть использована для защиты от злонамеренных хакеров. АНБ, конечно же, использует накопленные знания об эксплоитах нулевого дня для затыкания дыр в технических средствах, которые оно применяет или может применить в рамках военной или разведывательной деятельности. Но оно не предупреждает остальной мир, ведь тогда эксплоиты нулевого дня будут менее эффективны или вообще бесполезны. Если АНБ предупредит технологические компании об уязвимостях в их продуктах, то потенциальные цели агентства в Китае или Иране смогут подготовиться к отражению атак.

Однако на теневом рынке уязвимостей нулевого дня никто не дает гарантий, что АНБ приобретает исключительные права на информацию об этих уязвимостях. Один сомнительный поставщик, французская компания Vupen, продает информацию об одних и тех же уязвимостях нулевого дня и одни и те же эксплоиты многим клиентам, в том числе и государственным ведомствам разных стран. АНБ тоже является клиентом компании Vupen – из общедоступных документов видно, что агентство приобретает информацию об уязвимостях нулевого дня по подписке, которая предполагает получение информации об определенном количестве уязвимостей в течение срока действия договора. (Вооруженное этой информацией, АНБ может создать собственные эксплоиты.) Vupen также ведет каталог сложных, готовых к реализации атак нулевого дня, которые стоят гораздо дороже информации, распространяемой по подписке.

АНБ знает, что Vupen не всегда заключает эксклюзивные договоры, поэтому агентству приходится покупать все больше и больше информации об уязвимостях нулевого дня, рассчитывая на то, что по крайней мере какая-то часть из них окажется бесполезной в случае, если другое государство или компания, или криминальная группа воспользуются ими. Критики обвиняют компанию Vupen в поддержке «гонки кибервооружений» – стравливании государственных разведслужб и вооруженных сил друг с другом. Клиенты Vupen знают, что, если они упустят возможность купить информацию об очередной уязвимости, компания обязательно найдет клиента где-нибудь еще. Уязвимости, информацией о которых владеет Vupen, не являются уникальными для какой-то одной страны. Многие из них обнаружены в широко продаваемых высокотехнологичных продуктах, используемых по всему миру. Таким образом, у государств имеется стимул приобретать как можно больше информации об уязвимостях нулевого дня как для самозащиты, так и для проведения атак на своих противников.

В компании Vupen говорят, что они всего лишь продают информацию «заслуживающим доверия организациям». К таким организациям компания относит «разработчиков в сфере безопасности, поставляющих оборонные решения», государственные организации в «одобренных странах» и «всемирные корпорации», среди которых компании из первой тысячи рейтинга журнала Fortune. Это длинный список потенциальных клиентов, и в Vupen согласны, что не имеют возможности убедиться в надежности каждого из них. Компания не может гарантировать, что клиенты, купившие подписку или кибероружие из ее каталога, не передадут эти сведения людям, которым компания никогда не продает информацию непосредственно. Руководители дают туманные заверения, что существует внутренняя процедура проверки, не попадут ли в руки независимым хакерам и посредникам опасные продукты и знания, проданные компанией государственным ведомствам. Особое беспокойство вызывали страны Северной Африки и Ближнего Востока с репрессивным режимом правления, где власти, пытаясь сломить сопротивление демократических активистов, привлекают хакеров для внедрения зловредного ПО, чтобы вести слежку за протестующими. Вредоносные же программы приобретаются у таких компаний, как Vupen, представители которых заявляют, что никогда не продают свои продукты для таких неблаговидных целей. Тем не менее подобные продукты можно обнаружить на компьютерах и мобильных телефонах активистов, некоторые из которых подвергались преследованию и жестокому обращению со стороны властей и экстремистских группировок.

На всяком рынке, будь он серый или любой другой, крупнейшие покупатели имеют привилегии устанавливать свои условия и правила. АНБ как общепризнанный единственный крупнейший покупатель уязвимостей и эксплоитов нулевого дня может перевернуть рынок с ног на голову, если начнет приобретать информацию с ясной целью раскрыть ее обществу. Агентство располагает миллиардами долларов для расходов на кибербезопасность. Почему бы не потратить часть этих денег на то, чтобы предупредить мир о существовании устранимых уязвимостей? Какую ответственность понесет агентство, если предупредит собственников и операторов небезопасной технологии о существовании потенциальной угрозы атак на них? Эту этическую дилемму агентство не обязано решать. Однако, если когда-нибудь случится кибератака на США, которая приведет к значительному физическому ущербу или вызовет массовую панику, а может, и смерти, агентство будет призвано к ответу за то, что не сумело предотвратить катастрофу. Вполне вероятно, что когда-нибудь в будущем директору АНБ придется сесть на место свидетеля и перед телевизионными камерами объяснить членам конгресса и гражданам США, как так вышло, что он знал об уязвимости, которой воспользовались враги Америки, но только из-за желания АНБ однажды воспользоваться этой информацией решил сохранить ее в тайне.